Docker 网络:默认三大模式

C_心欲无痕2026-01-14 8:34

文章目录

想象一下,你有一个包含 Web 服务器、数据库和缓存的微服务应用。这些容器需要相互通信,同时也需要被外部访问。Docker 网络系统就是为了解决这些通信问题而设计的。没有网络,容器就像孤岛一样无法协作。

一、为什么镜像启动后还要"网络"?

容器本质是隔离的进程,网络栈(网卡、路由、iptables、DNS)也被隔离
Docker 网络负责:

  1. 让容器 彼此通信(同一主机、跨主机)
  2. 让容器 与外部通信(互联网、宿主机)
  3. 提供 DNS 发现(容器名即域名)
  4. 支持 热插拔(运行时加端口、换网段)

二、默认三大模式速览

维度 bridge(默认) host none
独立 IP ✅ 有 ❌ 无(=宿主机) ❌ 无
端口映射 需要 -p 不需要 无意义
性能 普通(NAT) 极高(零转发) 无网络
安全隔离 默认网络隔离 与宿主机共享 完全隔离
平台支持 全平台 仅 Linux 真机 全平台
典型用途 一般业务 高并发、端口爆炸 离线、密钥、安全沙箱

一键体验:

bash 复制代码 
docker run --rm --network bridge nginx          # 默认
docker run --rm --network host   nginx          # 共享宿主机网络
docker run --rm --network none   ip addr        # 空网络

三、桥接模式(bridge)

Docker 网络 默认 Bridge(桥接模式),所有的容器都连接到这个网络中,每一个容器都分配了一个内部的 IP 地址,一般都是 172.17 开头。在这个内部子网里面,容器可以通过内部 IP 地址互相访问。

text 复制代码 
┌────────────┐            ┌────────────┐
│  Container A │            │  Container B │
│  eth0@docker0 │────────────▶│  eth0@docker0 │
└────────────┘            └────────────┘
      ▲                         ▲
      │veth                     │veth
      └──────── Docker0 (172.17.0.1/16) ─────────┘
  • docker0 是 Linux 虚拟网桥,内核自动生成
  • 每启动一个容器,Docker 创建一对 veth 设备(一端在容器,一端插到 docker0)
  • 容器获得 172.17.x.x 地址,同一网段互通;出网流量经宿主机 iptables MASQUERADE 规则转发
bash 复制代码 
# 创建一个 名叫 network1 的子网
docker network create network1

# 创建一个 nginx 容器 使用 network1 的子网
docker run -d --network network1 nginx

四、主机模式(host)

host 模式下,docker 容器直接共享宿主机的网络,容器直接使用宿主机的 IP 地址,无需 -p 参数进行端口映射,容器内的服务直接运行在宿主机的端口上,通过宿主机的 IP 和端口就能访问到容器中服务。

容器放弃独立网络栈,直接蹭宿主机网

特点 说明
无隔离 容器进程看到的 eth0 / 127.0.0.1 / 端口空间 = 宿主机本身
无端口映射 -p 8080:80 变成 多余 ;容器里监听 :80 就是宿主机 :80
性能极高 省去 veth + iptables 转发,吞吐量接近裸机,延迟低 10-20 µs
安全风险 容器可嗅探宿主机全部流量,能绑定 0.0.0.0 抢占端口
平台差异 Windows / Mac 不可用(Docker Desktop 基于 VM,host 指 VM 而非物理机)

一键体验

bash 复制代码 
docker run --rm --network host nicolaka/netshoot
# 在容器里
ip addr              # 就是宿主机的网卡列表
netstat -tunlp       # 能看到宿主机所有监听端口

适用场景

  • 高并发网关、日志采集、Prometheus NodeExporter 等"对性能极度敏感"服务
  • 需要绑定大量随机端口(ActiveMQ、FTP)时避免映射爆炸
  • 仅限 Linux 生产节点,且受信任镜像。

五、none 网络

容器被拔网线,这个模式表示不联网

特点 说明
零网络 容器内只有 lo 回环接口,无 IP、无路由、无 DNS
攻击面最小 即使应用被 RCE,也无法外联、无法横向移动
日志 / sidecar 通过卷或 stdout 输出 常与 docker logs 或文件卷配合
体积最小 镜像构建阶段无网络依赖时,可确保"离线纯净"

一键体验

bash 复制代码 
docker run --rm --network none alpine sh -c "ip addr; ping 8.8.8.8"
# 只能看到 lo,ping 提示 Network unreachable

适用场景

  • 离线加密运算、签名机、密钥管理------"绝不让数据出容器"
  • 调试网络无关代码(纯算法、正则测试)
  • CI 安全阶段:确保构建过程 不偷偷下载依赖

👉点击进入 我的网站

相关推荐
小p2 小时前
docker学习7:docker 容器的通信方式
docker
小p3 小时前
docker学习5:提升Dockerfile水平的5个技巧
docker
小p4 小时前
docker学习3:docker是怎么实现的?
docker
小p1 天前
docker学习: 2. 构建镜像Dockerfile
docker
小p2 天前
docker学习: 1. docker基本使用
docker
崔小汤呀2 天前
Docker部署Nacos
docker·容器
缓解AI焦虑2 天前
Docker + K8s 部署大模型推理服务:资源划分与多实例调度
docker·容器
1candobetter3 天前
Docker Compose Build 与 Up 的区别:什么时候必须重建镜像
docker·容器·eureka
DianSan_ERP3 天前
电商API接口全链路监控:构建坚不可摧的线上运维防线
大数据·运维·网络·人工智能·git·servlet
シ風箏3 天前
MySQL【部署 04】Docker部署 MySQL8.0.32 版本(网盘镜像及启动命令分享)
数据库·mysql·docker
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04OpenClaw + 飞书(Feishu)环境搭建指南05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06Window 10部署openclaw报错node.exe : npm error code 12807OpenClaw优化飞书API 额度已耗尽问题08Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南10OpenClaw 接入阿里云百炼 Coding Plan 指南